Moin!

Aber magic_quotes_gpc richten bei unschlampiger Programmierung mehr Schaden an, als sie verhindern.

Kannst du das begründen? Ich habe das damals hineingenommen aufgrund einer Fehlermeldung.

Zunächst mal: Quoting gibts ja nicht umsonst, sondern es erfordert eine gewisse Anzahl an CPU-Zyklen. Das wäre also der materielle Schaden. Außerdem muß man dieses Escaping zwingend rückgängig machen, um sein eigenes Escaping für die jeweils benötigte Aufgabe anwenden zu können. Also gleich doppelter Schaden.

Dann: Das magic_quotes_gpc erzeugt leider nur ein sehr generisches Quoting, dass gefährlicherweise für alle Aufgaben nur halb paßt. Dummerweise kennen dies aber nur darüber informierte Programmierer. Sprich: Das Resultat der Funktion addslashes(), welche von magic_quotes_gpc angewandt wird, sieht ohne genaues Hinsehen sehr ähnlich aus, wie die Resultate spezialisierter Escaping-Funktionen. Das Problem liegt aber gerade in den Zeichen, bei denen das Escaping abweicht, wodurch eventuell unerwünschter Code eingeschleppt werden kann.

Mit anderen Worten: Man muß sich explizit mit dem Rückgängigmachen der magic_quotes herumschlagen, weil man auf spezialisiertes Escaping nicht verzichten kann. Also haut man entweder ein Unescaping-Modul rein, oder deaktiviert die magic_quotes_gpc.

- Sven Rautenberg